Pravila o privatnosti
Posljednje azuriranje: 20. svibnja 2026.
1. Voditelj obrade podataka
cepaos LLC, drustvo s ogranicenom odgovornoscu osnovano u drzavi Wyoming, Sjedinjene Americke Drzave, voditelj je obrade osobnih podataka prikupljenih putem platforme cepaos ("Platforma").
- Kontakt e-posta: privacidad@cepaos.com
- Sluzbenik za zastitu podataka: dpo@cepaos.com
Predstavnik u EU-u (cl. 27. GDPR-a): Imenovanje predstavnika u Europskoj uniji u skladu s clankom 27. Opce uredbe o zastiti podataka je u postupku formalizacije. Konacni kontakt podaci bit ce objavljeni u roku od 14 dana. Do imenovanja, upiti o zastiti podataka od strane stanovnika EU-a mogu se uputiti na privacy@cepaos.com.
2. Osobni podaci koje prikupljamo
2.1 Podaci koje pruza korisnik
- Ime i prezime te uloga
- Adresa e-poste
- Broj telefona (neobavezno)
- Naziv organizacije, porezni identifikacijski broj (CUIT/NIF) i porezna adresa
- Podaci za naplatu i nacini placanja (obraduje dLocalGo)
- Podaci profila racuna i postavke
2.2 Automatski prikupljeni podaci
- IP adresa i priblizni podaci o geolokaciji
- Vrsta preglednika i operacijski sustav
- Posjecene stranice, vrijeme na stranici i tokovi navigacije
- Identifikatori uredaja i kolacici (vidi Pravila o kolacicima)
- Zapisnici pristupa i sigurnosni zapisnici
2.3 Podaci organizacije
Korisnik moze unositi operativne podatke o svojoj organizaciji (zalihe, serije, proizvodni procesi, komercijalni podaci). Ti se podaci obraduju u skladu s Uvjetima koristenja i primjenjivim Okvirnim ugovorom o pruzanju usluga. cepaos tretira takve podatke kao povjerljive informacije klijenta.
3. Pravne osnove za obradu
Osobne podatke obradujemo na temelju sljedecih pravnih osnova:
- Izvrsenje ugovora: za pruzanje ugovorene usluge i upravljanje korisnickim racunom.
- Privola: za marketinske komunikacije, nebitnu analitiku i neobavezne kolacice. Privola se moze povuci u bilo kojem trenutku.
- Legitimni interes: za poboljsanje sigurnosti platforme, sprjecavanje prijevara i generiranje agregiranih analitika.
- Zakonska obveza: za ispunjavanje poreznih obveza, racunovodstvene evidencije i zahtjeva nadleznih tijela.
4. Svrhe obrade
- Pruzanje i odrzavanje usluge Platforme
- Upravljanje racunom, autentifikacija i kontrola pristupa
- Obrada placanja i naplate putem dLocalGo
- Slanje operativnih i sigurnosnih obavijesti
- Pruzanje tehnicke podrske korisniku
- Poboljsanje Platforme putem agregiranih i anonimiziranih analitika
- Ispunjavanje zakonskih i regulatornih obveza
- Sprjecavanje prijevara i osiguranje sigurnosti Platforme
- Slanje marketinskih komunikacija (samo uz privolu)
5. Dijeljenje podataka
cepaos ne prodaje osobne podatke. Podatke dijelimo samo sa:
5.1 Podobradivaci
| Provider | Function | Location | Legal basis / mechanism |
|---|---|---|---|
| Stripe Inc. | Payment processor (non-LATAM) | United States | EU-U.S. DPF + SCCs + Stripe DPA |
| dLocal Pty Ltd | Payment processor (LATAM) | Uruguay | GDPR adequacy (EU Decision 2012) + DPA |
| Supabase Inc. | Database and authentication | US / EU | SCCs + Supabase DPA |
| Railway Corp. | Application hosting | United States | SCCs + Railway DPA |
| Cloudflare Inc. | CDN and DDoS protection | United States (global network) | EU-U.S. DPF + SCCs + Cloudflare DPA |
| Upstash Inc. | Cache and rate limiting (Redis) | United States | SCCs + Upstash DPA |
| Resend Inc. | Transactional email | United States | SCCs + Resend DPA |
| Sentry / Functional Software | Error monitoring | United States | SCCs + Sentry DPA |
| PostHog Inc. | Product analytics (with consent) | United States / EU | SCCs + PostHog DPA |
Data shared with Stripe (non-LATAM Users): admin email address, organisation name, Stripe Customer ID and Stripe PaymentMethod ID (tokenised). cepaos does not receive or store the card number.
Data shared with dLocal Go (LATAM Users): admin email address, customer identifier, and card token. cepaos does not receive or store the card number.
5.2 Tijela vlasti
Mozemo otkriti osobne podatke kada to zahtijeva sudski nalog, zahtjev nadleznog tijela ili kada je to potrebno za zastitu prava, imovine ili sigurnosti cepaos-a, nasih korisnika ili javnosti.
6. Medunarodni prijenosi
Osobni podaci mogu se prenijeti u zemlje izvan nadleznosti korisnika, ukljucujuci Sjedinjene Americke Drzave. Primjenjujemo sljedece mjere zastite:
- Standardne ugovorne klauzule (SCC) odobrene od strane Europske komisije
- Procjene utjecaja prijenosa gdje je primjenjivo
- Ugovori o obradi podataka (DPA) sa svim podobradivacima
- Enkripcija u prijenosu (TLS 1.3) i u mirovanju (AES-256)
7. Zadrzavanje podataka
- Podaci racuna: tijekom trajanja pretplate plus 30 dana nakon otkaza.
- Evidencije naplate: 10 godina (zakonska porezna obveza).
- Sigurnosni zapisnici: 12 mjeseci.
- Analiticiki podaci: 24 mjeseca u agregiranom i anonimiziranom obliku.
- Sigurnosne kopije: brisanje unutar 90 dana nakon brisanja izvornih podataka.
8. Sigurnost
Provodimo tehnicke i organizacijske mjere za zastitu osobnih podataka, ukljucujuci:
- Enkripcija u prijenosu (TLS 1.3) i u mirovanju (AES-256)
- Visestruka izolacija stanara s Row Level Security (RLS) u PostgreSQL-u
- Sigurna autentifikacija temeljena na tokenima putem Supabase Auth
- Ogranicenje brzine i zastita od brute force napada
- Kontinuirano pracenje sigurnosti i automatizirane obavijesti
- Kontrola pristupa temeljena na ulogama (RBAC)
- Periodicke sigurnosne revizije
9. Prava ispitanika
Prema primjenjivom zakonu, korisnik ima sljedeca prava:
- Pristup: zatraziti kopiju osobnih podataka koje cuvamo.
- Ispravak: ispraviti netocne ili nepotpune podatke.
- Brisanje: zatraziti brisanje osobnih podataka.
- Prenosivost: primiti podatke u strukturiranom, strojno citljivom formatu (CSV, JSON).
- Prigovor: usprotiviti se obradi temeljenoj na legitimnom interesu.
- Ogranicenje: privremeno ograniciti obradu u odredenim slucajevima.
- Povlacenje privole: povuci privolu u bilo kojem trenutku bez utjecaja na zakonitost prethodne obrade.
Za ostvarivanje ovih prava, obratite se na privacidad@cepaos.com. Odgovorit cemo unutar jednog mjeseca od primitka zahtjeva (cl. 12. GDPR-a).
10. Uskladenost prema nadleznosti
GDPR Europska unija / Europski gospodarski prostor
Za korisnike u EU/EGP-u, cepaos se uskladuje s Opcom uredbom o zastiti podataka (GDPR). Pravne osnove: clanci 6(1)(a) privola, 6(1)(b) izvrsenje ugovora, 6(1)(c) zakonska obveza, 6(1)(f) legitimni interes. Prijenosi izvan EGP-a provode se putem Standardnih ugovornih klauzula (SCC). Korisnik ima pravo podnijeti prituzbu nadzornom tijelu u svojoj zemlji prebivalista.
LGPD Brazil
Za korisnike u Brazilu, cepaos se uskladuje s Lei Geral de Protecao de Dados (LGPD). Korisnik moze ostvariti prava predvidena clankom 18 LGPD-a. Privola je obvezna prema clanku 7 LGPD-a. Prituzbe se mogu podnijeti ANPD-u (Autoridade Nacional de Protecao de Dados).
Kalifornija, Sjedinjene Americke Drzave
Za stanovnike Kalifornije, cepaos se uskladuje s California Consumer Privacy Act (CCPA) i California Privacy Rights Act (CPRA). cepaos ne prodaje niti dijeli osobne podatke kako je definirano CCPA/CPRA-om. Stanovnici Kalifornije imaju pravo znati, izbrisati i odustati od prodaje osobnih podataka. Za ostvarivanje tih prava: privacidad@cepaos.com.
POPIA Juzna Afrika
Za korisnike u Juznoj Africi, cepaos se uskladuje sa Protection of Personal Information Act (POPIA). Sluzbenik za informacije moze se kontaktirati na dpo@cepaos.com. Prituzbe se mogu podnijeti Regulatoru informacija.
Zakon 25.326 Argentina
cepaos se uskladuje sa Zakonom 25.326 o zastiti osobnih podataka i njegovim Regulatornim dekretom 1558/2001. Ispitanik moze ostvariti prava pristupa, ispravka i brisanja predvidena clancima 14, 16 i 17 zakona. Agencia de Acceso a la Informacion Publica (AAIP) je nadzorno tijelo. Registar RNBD: Registracija u tijeku pri AAIP (Predmet br. 291 od 29.03.2026.).
11. Maloljetnici
Platforma je namijenjena iskljucivo za komercijalne operacije (B2B) i ne prikuplja namjerno podatke od osoba mladih od 18 godina. Ako saznamo da smo prikupili podatke od maloljetnika, odmah cemo ih izbrisati.
12. Izmjene ovih Pravila
cepaos moze povremeno azurirati ova Pravila o privatnosti. Promjene ce biti prijavljene najmanje 30 dana unaprijed putem e-poste i/ili obavijesti na Platformi. Datum posljednjeg azuriranja naveden je na pocetku ovog dokumenta.
13. Kontakt
Za upite o privatnosti i zastiti podataka:
- Privatnost: privacidad@cepaos.com
- DPO: dpo@cepaos.com
- cepaos LLC — Wyoming, Sjedinjene Americke Drzave
Ovi uvjeti mogu se povremeno ažurirati. Važeća verzija je ona objavljena na cepaos.com. Za pravne upite obratite se na legal@cepaos.com.